Hoppa till innehåll

Säkerhetsåtgärder

itslearning har genomfört de säkerhetsåtgärder som anges i denna bilaga, både organisatoriska och tekniska åtgärder, i enlighet med branschstandarder.

itslearning får uppdatera eller ändra sådana säkerhetsåtgärder från tid till annan under förutsättning att sådana uppdateringar och ändringar inte leder till att tjänsternas övergripande säkerhet försämras.

 

Organisatoriska åtgärder

Ledningsgruppen för itslearning har varit aktivt involverad i att utveckla en informationssäkerhetskultur inom bolaget genom ett pågående medvetenhetsprogram, och har en ledningsstruktur på plats för att hantera implementeringen av informationssäkerhet i sina tjänster med tydliga roller och ansvarsområden inom organisationen.

 

Operations Management

Det finns flera processer och policyer som bygger på bästa praxis inom branschen för att säkerställa bästa möjliga konfidentialitet, tillgänglighet och integritet för plattformen. Dessa policyer är uppbyggda kring strikta krav inom ett antal områden, t.ex;

  • Informationssäkerhet
  • Säkerhet i värdmiljön
  • Tredje parts åtkomst
  • Kapacitetskontroll
  • Förändringshantering
  • Backup och återställning
  • Åtkomstkontroll
  • Dokumentation
  • Loggning och övervakning
  • Svar på incidenter
  • Releasehantering

 

Säkerhetsteam

itslearning har ett team av säkerhetsexperter som ansvarar för den övergripande informationssäkerheten i organisationen. I deras roll ingår ansvar för;

  • Samordna säkerhetsrelaterade uppgifter
  • Säkra företagets miljö, nätverk och enheter
  • Applikationssäkerhet (interna penetrationstester och applikationsrevisioner)
  • Övervakning och loggning
  • Process- och policyhantering (katastrofåterställning, patchhantering etc.)
  • Träning och utbildning av anställda, inom området informationssäkerhet
  • Samordna säkerhetsrevisioner från tredje part och följa upp eventuella resultat
  • Granskning av kod för att upptäcka potentiella säkerhetsbrister.

 

Roller och ansvarsområden

Alla anställda har tydliga roller inom företaget och får endast tillgång till uppgifter som krävs för deras specifika roll. Ett begränsat antal medarbetare har administrativ åtkomst till vår produktionsmiljö och deras rättigheter är starkt reglerade och granskas med bestämda intervall. Alla större förändringar av applikationen, miljön eller hårdvaran i produktionsmiljön verifieras alltid av minst två personer.

Personalsäkerhet

All personal på itslearning är skyldig att ingå ett strikt sekretessavtal. All personal är skyldig att följa företagets policyer avseende sekretess, affärsetik och yrkesmässiga normer. Personal som är involverad i att säkra, hantera och bearbeta kunddata måste genomgå utbildning som är lämplig för deras roll.

Åtkomstkontroll

Strikta krav gäller för alla anställda, inhyrda konsulter eller tredje part som begär åtkomst till itslearning informationssystem. Åtkomstkontrollen styrs av ett autentiseringssystem. Användaren är skyldig att:

  • ha ledningens godkännande för den begärda åtkomsten
  • Ha starka lösenord som är i enlighet med företagets lösenordspolicy
  • Ändra sitt lösenord med jämna mellanrum
  • Dokumentera att den begärda åtkomsten är nödvändig för deras specifika roll/uppgift
  • Se till att den enhet (dator, surfplatta, mobiltelefon) som används är tillräckligt säkrad och låst när användaren är frånvarande

 

itslearning använder automatisk tillfällig spärr av användarens terminal om den lämnas inaktiv.

Interna processer och policyer för dataåtkomst är utformade för att förhindra att obehöriga personer och/eller system får tillgång till system som används för att behandla personuppgifter. Alla ändringar av uppgifter loggas för att skapa en verifieringskedja för ansvarsskyldighet.

 

Fysisk säkerhet

  • Datacenter
    itslearning driver alla sina kundtjänster från datacenter som är åtskilda från huvudkontorets arbetsutrymmen. Tillträde till datacenter är strikt kontrollerat och skyddat för att minska sannolikheten för obehörigt tillträde, brand, översvämning eller annan skada på den fysiska miljön. Fysisk tillgång till datacenter är begränsad till ett litet antal anställda inom itslearning och/eller dess leverantörer av hostingcenter. Strikta säkerhetsgodkännanden krävs och måste godkännas av säkerhetshanteringen innan tillträde till ett datacenter.

  • Kontorsarbetsplats
    Hela kontorsarbetsplatsen på itslearning är skyddad genom åtkomstkontroll. Endast inbjudna besökare och anställda har tillgång till arbetsutrymmet på itslearning . Flera åtgärder har vidtagits för att undvika säkerhetsproblem på grund av stöld eller förlust av datorutrustning. Detta inkluderar säkerhetsriktlinjer och policyer för godtagbar användning, autentiseringssystem och kryptering av lagringsenheter när så är tillämpligt.

 

Tekniska åtgärder - Systemtillgänglighet

itslearning har genomfört åtgärder enligt branschstandard för att säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust, inklusive:

  • infrastrukturredundans (inklusive full redundans för nätverk, strömförsörjning, kylning, databas, server och lagring)
  • backup lagras på en alternativ plats och är tillgänglig för återställning om det primära systemet skulle gå sönder.
  • lämpligt skydd mot överbelastningsattacker
  • 365/24/7 personal i tjänst för övervakning och felsökning

 

Dataskydd

itslearning har genomfört en rad åtgärder enligt branschstandard för att förhindra att personuppgifterna läses, kopieras, ändras eller raderas av obehöriga under transport eller i vila.

Detta åstadkoms genom olika branschstandardåtgärder, inklusive:

  • Användning av brandväggar i flera lager, VPN och krypteringsteknik för att skydda gateways och pipelines
  • HTTPS-kryptering (även kallad SSL- eller TLS-anslutning) med säkra kryptografiska nycklar
  • Fjärråtkomst till datacenter skyddas med ett antal lager av nätverkssäkerhet
  • Särskilt känsliga kunddata i vila skyddas genom kryptering och/eller hashing (pseudonymisering)
  • Varje disk som tas ur drift genomgår en diskraderingsprocess i enlighet med vår "Diskraderingspolicy", och urdrifttagandet loggas med diskens serienummer
  • Regelbundna säkerhetsrevisioner från tredje part (minst en gång per år), inklusive penetrationstester, som görs tillgängliga för kunderna

 

Datacenter

itslearning använder sig endast av toppmoderna datacenter med säkerhets- och övervakningsverksamhet på plats 365/24/7. Datacentralerna är inrymda i moderna brandsäkra anläggningar som kräver elektronisk nyckelkortsaccess, med larm som är kopplade till säkerhetsverksamheten på plats. Endast auktoriserade medarbetare och entreprenörer får begära elektronisk nyckelkortsaccess till dessa anläggningar.

 

Systemutveckling

Plattformen itslearning är baserad på branschstandardteknik från välkända leverantörer, inklusive Microsoft, Linux, Dell, Fujitsu, Amazon, Cloudflare, F5 och Cisco. Systemen patchar regelbundet till den senaste versionen för att säkerställa att de senaste säkerhetsförbättringarna tillämpas. Plattformen uppdateras i allmänhet flera gånger per kvartal, och buggfixar släpps snabbt baserat på prioritet, efter rigorösa kvalitetskontroller.

itslearning har åtgärder på plats för att minimera risken för att införa kod i sin plattform som kan försämra säkerheten eller integriteten för de kundtjänster och personuppgifter som behandlas.

Åtgärderna omfattar:

  • Regelbunden utbildning av personalen
  • Kodgranskning av säkerhetsarkitekter
  • QA-process för rigorös testning av ändringar före driftsättning

 

Säkerhet för underprocessorer

När itslearning tar emot underbiträden genomför en granskning av underbiträdenas säkerhets- och integritetsrutiner för att säkerställa att underbiträdena tillhandahåller en säkerhets- och integritetsnivå som är lämplig för deras tillgång till uppgifter och omfattningen av de tjänster som de anlitas för att tillhandahålla. itslearning genomför regelbundna säkerhetsgranskningar av rutinerna och leveransen för befintliga underbiträden.